Neue Ransomware-Variante ändert das Windows-Kennwort des Opfers

Die Ransomware MegaCortex treibt seit bereits einer ganzen Weile ihr Unwesen, Anfang Mai dieses Jahres hat sie sich dann plötzlich explo­si­ons­artig verbreitet. Danach wurde es wieder still um MegaCortex, nun meldet sie sich mit einer besonders "interessanten" Variante zurück.

Passwort wird geändert

Dass eine Ransomware die Dateien des Nutzers verschlüsselt, ist nicht neu bzw. Standard, schließlich will man Nutzer erpressen. Diese sollen Geld bezahlen, um wieder an ihre Dateien zu kommen. Die neueste Version von MegaCortex geht laut Bleeping Computer (via Born City) aber einen oder sogar zwei Schritte weiter: Denn nach der Verschlüsselung der lokalen Dateien wird auch noch das Passwort des eigeloggten Nutzers geändert, das Opfer wird also vom eigenen Konto ausgesperrt. Außerdem wird dem Betroffenen gedroht, die gekaperten Dateien zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird.


Die neue Version von MagaCortex, das sich über Trojaner wie Emotet verbreitet, wurde vom MalwareHunterTeam entdeckt und per Reverse Engineering analysiert. Zu erkennen sind entsprechend verschlüsselte Dateien aufgrund der Datei-Extension .m3g4c0rtx, der Anwender bekommt aber auch eine Nachricht "Locked by MegaCortex" zu sehen.

Nutzerdaten an "sicherem Ort"

Mehr noch: Der Betroffene bekommt eine Benachrichtigung angezeigt, die ihm mitteilt, dass seine Daten an einem "sicheren Ort" hochgeladen worden sind. "Im bedauernswerten Fall, dass wir uns nicht einigen können, werden wir keine andere Wahl haben, als diese Daten öffentlich freizugeben."

Wenn die Transaktion "finalisiert" wird, also die Erpressungsopfer bezahlen, dann werden alle heruntergeladenen Kopien gelöscht, versprechen die Täter. Ob dieser Datendiebstahl tatsächlich erfolgt, ist derzeit allerdings nicht klar, was auch rechtlich eine ganz andere Dimension ist, da es einen Datenschutzverstoß darstellt.